karololszak

Chronologicznie, co robiłem: Na koncie siema: 1. Odinstalowałem PrivitizeVPN 2. Odinstalowałem Trend Micro Titanium Internet Security W trybie awaryjnym, na koncie aga: 3. SystemLook x64 4. OTL 5. GMER 1 (quick skan) Zauważyłem wzmianki o sptd, więc odinstalowałem Daemon Tools, zrobiłem reset, potem próbowałem tym programem do deinstalacji sptd coś zdziałać, ale wg niego plików nie było, więc użyłem defoggera i kolejny reset. 6. GMER 2 (skan całego dysku C, ale przerwałem go bo długo trwał a nic specjalnego nie pokazał - to samo co quick, a kończył już skanować C:\Windows) Przelogowanie się na normalny tryb, na koncie siema: 7. GMER 3 (BSOD, jak wczoraj, więc brak loga;zgrałem dumpy, zauważyłem że występują gdy leci IAT/EAT) 8. GMER 4 (zatrzymałem przed IAT) 9. GMER 5 (po IAT, od urządzeń) Załączam wszystkie otrzymane logi + minidump z wczoraj i dzisiaj. SystemLook.txt OTL.Txt Extras.Txt GMER 1.txt defogger_disable.txt GMER 4.txt GMER 5.txt

Na tym felernym koncie aga nie da się nic zrobić praktycznie 2 sekundy po zalogowaniu, dlatego utworzyłem konto "siema" i na nim właśnie tworzyłem te logi. Zalogować się na 'aga' w trybie awaryjnym i wtedy zrobić OTL / GMER, czy to wtedy też nic nie da? No i z tym AdwCleaner faktycznie nawaliłem, cóż, myślałem, że on najpierw robi jakiś silent uninstall a dopiero jak to nie wyjdzie to przełącza się w brutala - czeka mnie w takim razie pewnie ręczne sprzątanie. Zrobię ten log z SystemLook x64 tak jak radzisz. Ale dopiero jutro. _ Czy nie prościej byłoby przenieść ważniejsze rzeczy (zdjęcia, muzyka, dokumenty, dane niektórych aplikacji) ze starego profilu na nowy i ten stary skasować i wtedy po prostu posprzątać "śmieci"? Wiem, że to bardziej ominięcie problemu niż rozwiązanie go, ale bardziej zależy mi na skuteczności (szybkości) niż dokładnym posprzątaniu - przyjechałem do kuzynki na kilka dni i po prostu chcę jej przywrócić komputer do stanu używalności (na jej koncie nie da się zrobić kompletnie nic od kilku dni), a tworzenie logów / skanowanie systemu jest długotrwałe i później zdalnie nie będę jej już w stanie pomóc (ja jakoś te narzędzia ogarniam, jej będzie na pewno trudniej).

Mam na stanie komputer (Win7 x64), na którym na domyślnym profilu nie da się nic zrobić. Awaryjny działa OK, z jego poziomu stworzyłem drugi profil na którym da się jakoś pracować, ale chciałbym przywrócić funkcjonowanie starego profilu. Najpierw przeleciałem komputer AdwCleaner, żeby skan plikow był trochę szybszy. Przeglądając na szybko pliki uruchamiające się w autostarcie namierzyłem różne pliki, które wg. komentarzy na virustotal odpowiadają wirusowi Zeus - te pliki skasowałem (po bojach z uprawnieniami = tylko TrustedInstaller mógł je ruszyć, pomogłem sobie Unlockerem), wyłączyłem je z poziomu msconfig. Nie było żadnego antywirusa, wgrałem Avasta, zrobiłem pełny skan. Załączam logi z AdwCleaner, Avasta i OTL. GMER zrobił szybki skan, ale przy pełnym skanie pod koniec zaliczył bluescreen, logu nie mam [ale pamiętam mnóstwo linijek o svchost]. Myślę przyjrzeć się jeszcze Autoruns, może z jego pomocą coś wypatrzę, ale to jutro. Liczę na pomoc z tymi logami z OTLa + jakieś narzędzie zastępcze za GMERa (ew. ominięcie tego bluescreena / pomoc z wyciągnięciem danych ze zrzutu). AdwCleanerS2.txt OTL.Txt Extras.Txt aswBoot.txt aswAr.txt

1, 2, 3 zrobiłem; Malwarebytes wykrył trochę rzeczy w szybkim skanie (log w załączniku); w Autoruns powyłączałem jeszcze niektóre 'File not found' i niektóre niepotrzebne usługi; w kluczu HKCU\Software\Microsoft\Windows\CurrentVersion\Run były same niepotrzebne / skasowane rzeczy, więc też je wyłączyłem. Co do tego z Firefoxem i automatycznym odpalaniem - to dzieje się na Win7 na tym samym PC, ale chyba sobie z tym poradzę Jakbym potrzebował dodatkowej pomocy to dam znać. SP3 pobrałem jeszcze raz, udało mi się go zainstalować. Wydaje mi się, że temat może już zostać zamknięty. mbam-log-2012-07-02 (21-41-17).txt

Znajomemu zepsuł się stary komputer (spaliła się większość podzespołów), przełożyłem dysk ze starego kompa i nowego, tak że mam Win7 i XP 'obok siebie'. Zrobiłem dualboota i wszystko ok, tylko wygląda na to, że na tym starym PC są jakieś pozostałości po malware, bo firefox się sam uruchamia z jakimś adresem itd. Załączam logi z OTLa i GMERa. PS gdy próbowałem wgrać SP3 z mojej kopii wyskakiwał błąd w stylu "spinst.exe nie jest prawidłową aplikacją systemu win32", pobiorę jeszcze raz i spróbuję znowu wgrać... OTL.Txt Extras.Txt gmer.txt

Coś mi się zdaje że z tymi DNSami się chyba nie udało... Ile masz "połączeń lokalnych" w "połączenia sieciowe" w panelu sterowania? Upewnij się, że DNSy zmieniasz dla tego połączenia co trzeba... Zmień tym razem na te co są w tym poradniku, potem wejdź do linii komend z uprawnieniami administratora i wpisz ipconfig /flushdns a następnie sprawdź czy po wpisaniu ping fixitpc.pl masz komunikat Badanie fixitpc.pl [194.109.6.97] z użyciem 32 bajtów danych [itd] (jeśli tak, to wszystko OK, a jeśli masz Żądanie polecenia ping nie może znaleźć hosta fixitpc.pl. Sprawdź nazwę i ponów próbę. to niestety, nie udało się).

Może wyłącz interfejs IPv6 na tym komputerze z XP [tym niedziałającym]? We właściwościach "Połączenie lokalne" odznaczyć trzeba "Microsoft TCP/IP wersja 6". Ja miałem podobny problem i właśnie interfejs IPv6 mi coś przeszkadzał, a jego wyłączenie pomogło. Widzę że w net-logu już jest ipconfig /flushdns, zresztą odpowiada na ping po domenie, więc z DNSami wszystko ok... PS Sprawdzałeś inną przeglądarkę?

Ten sysresccd polecany w filmiku bardzo fajny, bo przy instalacji na pendrive za pomocą tego guide (i narzędzia dla Windows) nawet nie wymagany jest format (jeśli system plików na penie to FAT32), a wszystko bootuje jak należy. Ma nawet interfejs xfce (musiałem uruchomić xa bo nie mogłem znaleźć w którym sda kryje się windows, skasowałem plik $ThfLog najpierw z partycji recovery (myślałem że to zwykły Win), ale nie podziałało, więc odpaliłem gruba już na xie i znalazłem ten właściwy. Instrukcja z filmiku dla osób z tym samym BSODem (ciut skrócona i spolszczona): wpisujemy: 40 (dla klawiatury uk) 28 (pl) ntfs-3g /dev/sda1 /mnt/windows (bądź: sda2 albo sda3, jeśli nie pomogą dalsze kroki; montuje partycję do zapisu i odczytu) cd /mnt/windows/\$Extend/\$RmMetadata (przechodzimy do ścieżki z uszkodzonym plikiem) rm -rf \$TxfLog (kasujemy uszkodzony plik) umount /mnt/windows (demontujemy partycję [tak, ma być umount, to nie literówka ;p]) init 6 (wyłączamy system rescue) Dzięki za pomoc, temat do zamknięcia.

Spróbuję metody z linuxem; wcześniej sam znalazłem ten filmik, ale wolałem się upewnić co do skuteczności tej metody na forum. Dam znać co z tego wyniknie.

Dość popularny BSOD 0x0000C1F5 na (nieaktualizowanym) Windows Vista, spotkał sąsiadkę na laptopie. Fixów w internecie na niego jest mnóstwo, i nie pisał bym na tym forum, gdyby nie jeszcze jeden problem - napęd w tym laptopie jest uszkodzony. Do tej pory użytkowniczce to nie przeszkadzało (i tak korzystała z internetu albo pendrive'ów itd.), ale teraz, gdy zaistniała potrzeba sformatowania bądź przynajmniej uruchomienia jakiegoś linuxa tudzież innego recovery, nie bardzo mam jak to zrobić. Poszukuję sposobu na rozwiązanie tego problemu (o ile dobrze zrozumiałem ze strony microsoftu, plik $TxfLog jest uszkodzony i nie może zostać naprawiony) w taki sposób, który nie obejmuje korzystanie z płyt (napęd w tym laptopie nie działa) ani nie wymaga formatowania urządzenia USB (czytałem porady w których mówi się o instalacji Win7 na pendrive przez format, później zbootowanie tego, i samo bootowanie miało by pomóc; albo zainstalować [format systemu] i wgrać Vistę od nowa [trochę bez sensu, zwłaszcza że napęd nie działa]). Nie posiadam przy sobie płyt z Windows Vista ani 7, które mógłbym wykorzystać nawet do stworzenia specjalnego pendrive. Jedyny pendrive który mógłbym sformatować jest pojemności 2GB, więc Win7 czy Visty na niego nie zgram (optował bym za jakimś linuxem który może zamontować ntfs i skasować tamten plik, ale nie wiem jak by to działało i czy by działało). Ma ktoś jakąś radę?

Przesyłam do analizy ogólnej logi z komputera. Czasem sprawia ogólne wrażenie przymulenia, ponoć często po jakimś czasie od uruchomienia występuje 'beep' systemowy, i wtedy nie da się nic zrobić. Co robiłem: - deinstalacja Adobe Acrobat X, deinstalacja niepotrzebnych modułów Avasta; pobranie OTLa i GMERa; wyłączenie Avasta i Windows Defendera - wygenerowanie loga z OTLa, pobranie defoggera, wyłączenie przy jego pomocy sterowników SPTD; restart - próba wygenerowania loga z GMERa, po uruchomieniu BSOD ze sterowników karty graficznej - restart do trybu awaryjnego, częściowy log z GMERa (zatrzymałem go na C:\Windows\winsxs, bo nie było więcej czasu) Proszę o ogólną diagnostykę. OTL.Txt Extras.Txt gmer.log.txt

No generalnie na tamtym systemie jest zainstalowany avast!, tylko że on wcześniej chyba tego wirusa nie wykrywał, i jak sprawdziłem to poprzenosił je do kwarantanny; a na chwilę obecną sprawdzić czy da się wybrane aplikacje wyleczyć nie mam jak, zobaczę w piątek, gdy będę przy tamtej maszynie. A śmieci to wiadomo, pójdą do kasacji. :-) Zastanawiam się nad wymianą avast! na jakąś darmową alternatywę, słyszałem dobre opinie o Pandzie Cloud - czy warto się przesiąść?

Tak jak w temacie, komputer jest zainfekowany Win32:Neshta. Wykryty przez avast! 5, przeniósł pliki do kwarantanny. Raport z VirusTotal dla Fraps'a: klik - nie wygląda to za dobrze. System Windows 7 Ultimate 64 bit. Logi z OTLa w załączniku. Planuję wykonać też skan MBAMem. OTL.Txt Extras.Txt

Dobra, porządek zrobiłem sam, komp już działa i chyba jeszcze trochę pochodzi Dzięki za pomoc. Temat do zamknięcia ;]

OK, żadna z konsoli nie chciała się odpalić z USB - uparcie prosiła o płytę CD... Udało mi się znaleźć jakąś kilkuletnią, porysowaną płytę DVD, która okazała się czysta, i na nią wypaliłem Recovery Console... Udało się, poszedł chkdsk /p /r, i system "wstał". Zabieram się więc za porządki. Większość śmieciowych toolbarów, tymczasowych plików, i innych tego typu rzeczy już się pozbyłem; wspomogłem się też AutoRuns by wyłączyć kilka niepotrzebnych sterowników czy usług (sygnalizuję że jestem jeszcze w posiadaniu tego narzędzia, gdyby było potrzebne). Przeprowadziłem też defragmentację plików. Zamieszczam logi z OTL + GMER, chociaż nie wydaje mi się, by w systemie była jakaś aktywna infekcja. Nie zaszkodzi jednak sprawdzić. PS OTL zaśmiecony jest przez Yahoo do Firefox'a, dlatego wrzucam go tutaj zamiast jako załącznik: http://wklej.org/hash/52b4145743d/ Poza tym, dodaję też raport S.M.A.R.T. uzyskany z CrystalDisk Info, by skonsultować, czy ten dysk nadaje się jeszcze do użytku... Podobno to nie pierwszy raz odstawia takie numery. Extras.Txt SMART(CrystalDiskInfo).txt GMER.txt

No więc tak: wszedłem na GParted LiveCD, stamtąd TestDisk, zrobiłem analizę, sprawdziłem czy po wciśnięciu "P" pojawią się pliki - no i były; skorzystałem z opcji write, no i zresetowałem żeby sprawdzić czy coś da. Nie dało, więc do konsoli odzyskiwania - a konsola prosi mnie o wsadzenie do napędu CD płyty z XP SP2... :/ Teraz tworzę SARDU z pobranym OTLPE, i z niego spróbuję zrobić CHKDSK /P /R - zobaczymy co z tego wyniknie... OTLPE z podłączonym tamtym dyskiem też nie chce wystartować - po pojawieniu się niebieskiego tła i myszki nie przechodzi już dalej; gdy zostawię tylko mój dysk, to szybko przechodzi dalej (do tych napisów + logo Reatogo). Co jeszcze zrobiłem: w GParted najpierw TestDisk, Advanced Advanced > Boot > Rebuild BS i Repair MFT. Później odpaliłem sam GParted, żeby sobie zobaczyć w nim jak to wygląda - i partycję C wykryło, z tym że pojawił się trójkąt z informacją - sugerują w niej żeby odpalić CHKDSK /f... Pobrałem inną Recovery Console, spróbuję coś zdziałać z jej poziomu...

"Na stanie" mam obecnie dysk z komputera znajomego. System nie chce się zbootować (wyskakuje BSOD [taki sam jak tutaj, dokładnie: UNMOUNTABLE_BOOT_VOLUME; STOP:0x000000ED (0x8A4CB708, 0xC0000006, 0x00000000, 0x00000000)) + nie udaje się w niego wejść na awaryjnym. Gdy podłączę go jako slave i próbuję odpalić komputer z mojego dysku jako master, to mój system nie chce się ładować - tak jakby ten dysk mu przeszkadzał (bez niego jest OK). Nie jestem więc w stanie sprawdzić/odzyskać cokolwiek z poziomu działającego systemu. Co jest jednak ciekawe, to gdy po kilkukrotnym resecie mojego systemu z podłączonym drugim dyskiem, odpalił się chkdsk (dla partycji J:, czyli właśnie dla nowo-podłączonego dysku): Czyli wygląda na to że *cośtam* gdzieś jeszcze jest... Dysk jest podłączany na SATA, nie działa ani u znajomego ani u mnie, więc pozostały sprzęt (RAMy itd.) odpada. Podpinałem go i na kablach znajomego i na moich, więc okablowanie też nie gra roli. Dwa różne komputery = różne ustawienia BIOSu, a ani tu ani tu nie działa - więc złe ustawienia też odpadają. Nie posiadam płytki CD z Windows, pobrałem już .iso Konsoli Odzyskiwania i GParted LiveCD - ale nie mogę znaleźć żadnej "czystej" płytki w domu i nie mam ich na co wypalić :/ Czy to są obecnie jedynie opcje?...

No, możliwe że stosowane było przywracanie systemu, bądź coś w tym guście... Ten laptop ma też zamontowane jakieś "firmowe" recovery powiązane z BIOSem, tj. jest ukryta partycja odzyskiwania... Albo, tak jak piszesz, Windows 7 sam się obronił. Wszystko już rozwiązane, dzięki za pomoc.

Ad. 1, to był tam jeszcze Google Toolbar, ale niepotrzebny, to i też wyrzucony Sprzątanie zrobione. Narzędzie Kaspersky'ego wykryło kilka infekcji, ale to zdaje się heurestyka wykryła pliki tymczasowe (pozostałe po tych wirach co były pobierane do C:\Users\Ewelina). Jak coś, to log w załączniku. Punkty przywracania usunięte. I właśnie, apropos, to wydaje mi się że właściciel mógł skorzystać z opcji "ostatnia dobra konfiguracja", przez co infekcji Ransomem jakby w ogóle nie było... Wyżej wymienione zaktualizowane, wcześniej odinstalowany Acrobat Reader 9 zastąpiony najnowszym Foxit Reader'em, (wygaśnięty...) trial McAffe'go zastąpiony avast! 6. Zainstalowany FF4, Adblock Plus z odpowiednimi filtrami + jest WebRep od avast!a. A zmianę haseł sugeruję zawsze, nawet jeśli komputer nie był zainfekowany czymś zdolnym do ich przechwytywania - profilaktyczna zmiana hasła nikomu nie zaszkodzi (zwłaszcza, że wiele osób korzysta z takiego samego hasła wszędzie, i go nie zmienia...). To chyba wszystko? Dzięki za asystę kaspersky_s_tool.txt

Ransom wziął się stąd: - tak mi napisała znajoma... Jak już napisałem wcześniej, punkt 1 wykonany, log w załączniku Punkt drugi również częściowo wykonałem (), dlatego w logu będzie o tym że niektórych plików bądź wpisów nie znaleziono. Hosts też uzupełniłem, z tym że jak widzę, nie tak jak trzeba Nowe logi z GMERa i OTLa w załączniku (zostały zrobione przed utworzeniem hosts, bo nie miałem uprawnień, więc wpisy o tym że go nie ma dalej są - uruchomiłem notatnik jako admina, i udało się zapisać). TDSSKiller.2.5.4.0_10.06.2011_20.03.29_log.txt 06102011_202831.log.txt OTL.Txt gmer.log.txt

Udało mi się dostać do systemu normalnie, tytułowego trojana (jeszcze?) nie ujżałem, w ogóle oprócz dziwnych procesów działających w tle nie ma żadnych oznak jakichkolwiek infekcji... Sterownik wyłączony Defoggerem, logi z GMERa i OTLa w załączniku. Wygląda na to, że GMER wykrył rootkita?... Czekam na analizę, w międzyczasie wywalę śmieciowe toolbary itp. #Edit: w logu z GMERa widzę TDL4, pobrałem Kaspersky TDSSKiller, już zadziałał, teraz reboot. A ile wirów (samemu pobranych?!) było w C:\Users\Ewelina - no tragedia... PS wiem, że to wygląda jakbym nie stosował się do poleceń, ale wyszedłem z założenia, że tamtą płytą należy się posiłkować gdy logów normalnie uzyskać się nie da - a tu się dało... OTL.Txt Extras.Txt gmer.log.txt

Witam, jutro zostanie mi dostarczona maszyna prawdopodobnie zainfekowana Trojan/Ransomware (identyfikacja po 'telefonicznym przekazie' tego co użytkownik widzi na ekranie, szybkie google + to: http://deletemalware.blogspot.com/2011/04/system-plugin-at-address-0x00874324-got.html i potwierdzenie...). Proszę o skuteczną metodę pozbycia się tego zatruwającego życie trojana (co prawda na tamtej stronie jakaś metoda podana jest, ale Wam ufam). Logi z OTLa i GMERa (również w razie innych, przewidywanych infekcji) zamieszczę jutro, podejrzewam że około godziny 19.

Faktycznie, zapomniałem o SPTD... Wyłączony via Defogger, w logu skan z GMERa (wygląda mi na czysty, ale nie mnie oceniać...). Log po czyszczeniu via OTL znajduje się tutaj Skojarzyłem, że dużym zamulaczem jest... pulpit + fragmentacja plików na nim... Z pulpitu znikło ok. 15 GB danych, i system wyraźnie przyśpieszył. Poprzednia defragmentacja UltimateDefrag nie przyniosła rezultatów, teraz czas na Puran Defrag... Wygląda obiecująco gmer.log.txt

Komputer jest ogólnie "przymulony", gdy jest odtwarzana muzyka (w Winampie) to potrafi się ona zaciąć; poza tym to jest główny zamulacz. Nie wiem czy jest to infekcja, czy po prostu zaśmiecenie systemu, ale sądzę że lepiej napisać tutaj (dołączając logi). OTL w załącznikach, GMER się zawiesił podczas skanu... Z racji, że nie wiele osiągnąłem sposobami nieinwazyjnymi (odinstalowanie prawie wszystkich programów, wyłączenie większości rzeczy w Autoruns, reinstalacja Avasta i Winampa - i nic nie pomogło), zdecydowałem że użyję Combofix. Log z jego pracy w załączniku. Niestety, niewiele on pomógł; teraz przejdę do defragmentacji narzędziem Disktrix - UltimateDefrag. Liczę, że to przyśpieszy kompa... OTL.Txt Extras.Txt ComboFix.txt

Cóż, prosiłem, nie posłuchał...